Dal 13 febbraio 2019, con l’entrata in vigore della legge n. 12 del 11 febbraio 2019 (che ha convertito il Decreto Semplificazioni 2019) smart contracts e tecnologie basate su registri distribuiti, come la blockchain, hanno smesso di appartenere al dizionario del futuro e sono entrati nel quadro normativo italiano. La nuova legge, che regola argomenti di natura eterogenea, ha difatti riscosso particolare attenzione per il suo articolo 8-ter che introduce le definizioni di smart contracts e tecnologie basate su registri distribuiti, regolandone alcuni effetti giuridici. Ma come funziona in concreto la blockchain?
La blockchain è una tecnologia basata su un registro pubblico condiviso nel quale vengono inseriti da parte di dispositivi interconnessi (c.d. sistemi-nodi) una serie di dati protetti da chiavi crittografiche. La rivoluzione è data dal fatto che i dati memorizzati nel distributed ledger vengono compressi tra loro in una sequenza cronologicamente ordinata di “blocchi” (da qui blockchain, “catena di blocchi”), non più modificabili o alterabili. I dati vengono validati dai cosiddetti miners mediante algoritmi matematici e ad ogni blocco viene assegnata una marca temporale.
Diversamente dai sistemi cloud, la blockchain è decentralizzata in quanto priva di un soggetto o server centrale: le transazioni realizzate in blockchain si producono automaticamente senza l’intervento di alcun intermediario. Tra le applicazioni di questa tecnologia, oltre alle ormai note criptovalute come i Bitcoin, possiamo citare gli smart contracts: software installati sui sistemi-nodi con i quali è possibile concludere contratti ed eseguirne le clausole, vincolando le parti interessate in modo automatico sulla base di alcuni effetti da loro prestabiliti (come l’applicazione automatica di una penale in caso di ritardo nell’adempimento).
Le vicende del contratto vengono convalidate con marca temporale e sono pubblicamente visibili nel registro condiviso, agevolando la certezza dei rapporti giuridici e le prove legali in caso di contenzioso. L’articolo 8-ter della predetta legge ha difatti previsto che gli smart contracts conclusi previa identificazione informatica delle parti contraenti siano legalmente equiparati ai tradizionali contratti con forma scritta (i requisiti tecnici dell’identificazione informatica delle parti dovranno essere stabiliti dall’Agenzia per l’Italia Digitale con apposite Linee Guida). L’introduzione di queste tecnologie apre inevitabili interrogativi, ad esempio, sulla tutela dei dati veicolati e “cristallizzati” in blockchain.
Ci si chiede, in proposito, se la pur recente architettura del Regolamento Generale sulla Protezione dei Dati (Gdpr) sia idonea ad “abbracciare” questa nuova realtà digitale. Il primo nodo da sciogliere è se la chiave pubblica (il codice riferito ad uno specifico dato o transazione di un certo utente) possa essere considerata come un’informazione capace di identificare indirettamente la persona fisica ad essa associata; in altri termini, se possa essere considerato come un “dato personale” ai sensi del Gdpr. Il dubbio sorge in quanto le chiavi pubbliche sono, come detto, crittografate e pertanto gli utenti che visualizzano il registro condiviso non sono in grado di identificare altri utenti. Un service provider potrebbe invece risalire all’utente associando ulteriori informazioni come, ad esempio, il connesso indirizzo IP. Con tutta probabilità, dunque, tali dati non potrebbero essere qualificati come dati anonimizzati (la cui dissociazione con la persona fisica è irreversibile) ma come dati personali pseudonimizzati, soggetti alle regole del Gdpr.
Ci si interroga poi su chi, all’interno del network, possa rivestire il ruolo di titolare del trattamento dei dati – determinando finalità e modalità dello stesso – e chi invece, trattando i dati per conto del titolare – quello di responsabile del trattamento. La decentralizzazione del blockchain potrebbe imporre di ridelineare il sistema in chiave di “contitolarità” nonché di reciprocità: ogni partecipante è al contempo titolare per sé stesso e responsabile per i dati degli altri utenti. Sarà quindi opportuno stabilire a monte una chiara ripartizione, tra utenti, di ruoli e rispettivi obblighi. A sollevare le maggiori perplessità, infine, è l’incompatibilità del sistema blockchain con i principi sottesi al Gdpr. La parola “chiave” del Gdpr è difatti “controllo” dei dati da parte degli interessati: si pensi al diritto di rettifica, di limitazione o ancora al diritto di essere “dimenticati”. All’opposto, il punto di forza della blockchain – ovvero l’immutabilità dei dati – costituisce anche il più controverso tallone d’Achille per la privacy dei futuri utenti, anche in considerazione della conservazione illimitata dei dati. Indubbie sono le potenzialità dei registri pubblici distribuiti in diversi ambiti. Ancora molte, però, le domande a cui il legislatore dovrà rispondere prima che la blockchain possa, davvero, prendere vita.
